1.挑战说明
我们从情报局收到了这个内存转储。 他们说这个证据可能包含黑帮大卫本杰明的一些秘密。这个内存转储是从本周早些时候被 FBI 逮捕的他的一名员工那里获取的。你的工作是通过内存转储,看看你是否能找出一些东西。FBI还表示,大卫通过互联网与他的工人交流,因此这可能是一个很好的起点。
注意:此挑战由 1 个标志组成,分为 2 个部分。
本实验的标志格式为: inctf{s0me_l33t_Str1ng}
靶场地址:https://github.com/stuxnet999/MemLabs/tree/master/Lab%206
2.Flag后半段
2.1 获取镜像操作系统
得到操作系统版本为Win7SP1x64
vol.py -f /root/Desktop/memlabs/lab6/MemoryDump_Lab6.raw imageinfo
2.2 查看cmd输出
找到一个敏感文件flag.rar
vol.py -f /root/Desktop/memlabs/lab6/MemoryDump_Lab6.raw --profile=Win7SP1x64 cmdline
2.3 文件提取进行转储
vol.py -f /root/Desktop/memlabs/lab6/MemoryDump_Lab6.raw --profile=Win7SP1x64 filescan |grep flag.rar vol.py -f /root/Desktop/memlabs/lab6/MemoryDump_Lab6.raw --profile=Win7SP1x64 dumpfiles -Q 0x000000005fcfc4b0 -D ../memlabs/lab6 mv file.None.0xfffffa800138d750.dat flag.rar
2.4 尝试访问flag.rar
需要密码进行解压,我们先放到一边,找一下密码的线索
2.5 环境变量中寻找rar密码
vol.py -f /root/Desktop/memlabs/lab6/MemoryDump_Lab6.raw --profile=Win7SP1x64 envars -p 3716
使用envars寻找WinRAR.exe的变量,在Variable变量中找到RAR password,其值为:easypeasyvirus
2.6 使用密码成功解压缩
2.7 获取Flag2
拿到了Flag2的内容:aN_Am4zINg_!_i_gU3Ss???_}
3.Flag前半段
3.1 读取Chrome浏览器历史记录
找到链接https://pastebin.com/RSGSi1hk
vol.py --plugins=./plugins -f /root/Desktop/memlabs/lab6/MemoryDump_Lab6.raw --profile=Win7SP1x64 chromehistory > ../memlabs/lab6/chrome.txt
3.2 提示中给出了一个google文档
并且提示我们密钥就在邮件中
https://www.google.com/url?q=https://docs.google.com/document/d/1lptcksPt1l_w7Y29V4o6vkEnHToAPqiCkgNNZfS9rCk/edit?usp%3Dsharing&sa=D&source=hangouts&ust=1566208765722000&usg=AFQjCNHXd6Ck6F22MNQEsxdZo21JayPKug
3.3 在文档中找到一个网盘链接
3.4 打开网盘需要密钥
3.5 搜索镜像中带有Mega字符的ASCII文本
strings -n 500 ../memlabs/lab6/MemoryDump_Lab6.raw|grep Mega
密钥值为:THE KEY IS zyWxCjCYYSEMA-hZe552qWVXiPwa5TecODbjnsscMIU
3.6 尝试打开图片
怀疑图片可能损坏,无法正常访问
3.7 在检查PNG规范后,发现标题处有问题
3.8 修改69为49,并进行保存
3.9 获取Flag
Flag前半段值为:inctf{thi5_cH4LL3Ng3_!s_g0nn4_b3_?_
3.10 全部Flag
结合前后半段Flag,最终值为:inctf{thi5_cH4LL3Ng3_!s_g0nn4_b3_?_aN_Am4zINg_!_i_gU3Ss???_}